Como criptografar / home no Ubuntu 18.04?

Navegue suas respostas
33

Decepcionado ao ver que o instalador do 18.04 não oferece mais a opção de criptografar o diretório inicial. De acordo com o este relatório de erros referenciado no instalador, o método recomendado para criptografia é days é full-disk com LUKS ou fscrypt para diretórios. A criptografia de disco completo parece um pouco exagerada para minhas necessidades, e todos os bugs e advertências mencionados no Wiki não fazem é uma opção muito atraente. Tudo o que eu realmente quero é proteger o meu diretório pessoal de alguém que acesse meus documentos, fotos, etc., se meu laptop for roubado, fazendo com que o fscrypt seja a opção para mim.

A página do GitHub do fscrypt tem alguns exemplos sobre como configurá-la, mas não consigo encontrar nenhuma documentação destinada a criptografar o diretório inicial no Ubuntu. A antiga ferramenta ecryptfs ainda está disponível, mas depois de configurá-lo, o Ubuntu às vezes congelava na tela de login.

Então, minha pergunta é: Como configuro o fscrypt para criptografar meu diretório / home e descriptografar quando eu fizer login? Eu também gostei de como o ecryptfs permitia decodificar a pasta manualmente (por exemplo, a partir de imagens de disco).

(Uma pergunta semelhante foi postada aqui e infelizmente foi fechado por ser um relatório de bug" fora do tópico ". Para esclarecer, este não é um relatório de bug. O fato de a opção de criptografar o diretório principal ter sido removida do instalador foi intencional.Tudo que estou perguntando aqui é como configurar o fscrypt.)

Obrigado

    
por elight24 28.04.2018 / 16:19

3 respostas

15

TL; DR: Use a criptografia doméstica clássica com o Linux Mint 19 Tara .

fscrypt para a criptografia inicial ainda está quebrado.

How do I setup fscrypt to encrypt my /home directory and decrypt when I log in?

Isso é algo que muitos de nós querem. Parece que a equipe do Ubuntu não conseguiu fazer o ecryptfs funcionar livre de bugs no Ubuntu 18.04, e não pôde consertar os bugs em fscrypt para uma opção de criptografia doméstica a tempo para a versão agendada do Ubuntu 18.04.

Para fscrypt , há pelo menos um bug crítico que o torna inutilizável para criptografia doméstica no momento:

Além disso, precisamos de uma forma transparente de autenticar / desbloquear antes que seja uma alternativa realista à criptografia "antiga" do tipo ecryptfs. Isso é rastreado aqui:

Com esses problemas em aberto, você pode considerar a criptografia doméstica interrompida neste ponto. Com isso, meus colegas e eu consideramos o Ubuntu 18.04 18.04.1 inacabado no momento, e esperamos que a criptografia home seja trazida de volta (usando o novo e muito melhor método fscrypt ) no Ubuntu < s> 18.04.1 18.04.2.

Até lá, ficamos com o Ubuntu 16.04.

Mudamos todas as nossas máquinas para Linux Mint 19 Tara com a criptografia doméstica clássica usando ecryptfs . Leia a seção " problemas conhecidos " no Release Notes para Linux Mint 19 Tara sobre as limitações ecryptfs , e veja se isto é aceitável para você:

(...) please be aware that in Mint 19 and newer releases, your encrypted home directory is no longer unmounted on logout.

Se você tentou fscrypt e descobriu que ele está corrompido para seu uso, você pode votar "este bug também me afeta" no seguinte erro da barra de lançamento:

Observe que fscrypt / ext4-crypt (futuro "criptografar início") é a opção mais rápida e ecryptfs (antigo "criptografar início") é a opção mais lenta. LUKS ("criptografar toda a unidade") está no meio.

Por esse motivo, toda a criptografia de disco é "convenientemente" recomendada. Porque se você tiver projetos muito grandes com muitos arquivos pequenos, usar muito o gerenciamento de revisões, fazer grandes compilações, etc., você descobrirá que o exagero de criptografar toda a sua unidade realmente vale a pena comparado à lentidão do antigo tipo ecryptfs. criptografia doméstica.

No final, a criptografia de toda a unidade tem várias desvantagens:

  • Conta de convidado
  • Laptop da família com contas particulares
  • Usando um software anti-roubo semelhante ao PREY

É intrigante que a Canonical tenha decidido que "não precisamos mais disso" em sua versão LTS, que veio a ser conhecida como sua distribuição mais "séria".

    
por Redsandro 03.05.2018 / 13:15
5

De resposta da Panther aqui A criptografia de disco completo criptografa tudo, incluindo / home, enquanto criptografa apenas um diretório específico, como / home is apenas encypted quando você não está logado.

Para criptografar um diretório inicial de usuários existente:

Primeiro, faça logout dessa conta e faça login em uma conta de administrador:

instale os utilitários de criptografia para o trabalho: 

 sudo apt install ecryptfs-utils cryptsetup

desse bug da barra de lançamento ecryptfs-utils está agora em o repositório do universo.

migre a pasta inicial desse usuário: 

sudo ecryptfs-migrate-home -u <user>

seguido da senha do usuário dessa conta

Em seguida, faça o logout e faça o login na conta de usuários criptografados - antes de uma reinicialização! para completar o processo de criptografia

Dentro da conta, imprima e registre a frase secreta de recuperação: 

ecryptfs-unwrap-passphrase

Agora você pode reinicializar e fazer login. Quando estiver satisfeito, você pode excluir a pasta base do backup.

Além disso, se você quiser criar um novo usuário com o diretório inicial criptografado: 

sudo adduser --encrypt-home <user>

Para mais informações: man ecryptfs-migrate-home ; homem ecryptfs-setup-private

    
por ptetteh227 28.04.2018 / 19:27
1

Pessoalmente, eu quase nunca recomendaria usar a Criptografia de Sistema de Arquivos (FSE) para ninguém, para a maioria dos casos de uso. Há várias razões, entre as quais o fato de existirem alternativas mais eficazes. Vocês todos falam como se houvesse apenas duas opções, FSE ou FDE (Full Disk Encryption). No entanto, isso simplesmente não é o caso. Na verdade, existem duas outras opções que beneficiariam muito o OP, sendo as criptografia de contêiner de arquivo e os arquivos criptografados.

Criptografia de contêiner de arquivos é o software para o qual o Veracrypt e o agora extinto Truecrypt são escritos. A criptografia de contêiner é integrada à maioria dos softwares de compactação de arquivos, como o Winzip e o 7zip, como uma opção ao criar um arquivo desse tipo.

Os dois têm muitas vantagens sobre o FSE, o mais óbvio é que você não precisa deixá-los montado enquanto não estiver trabalhando com seus arquivos criptografados. Isso impede que qualquer pessoa possa acessar quem pode substituir as proteções da chave do perfil do usuário e o bloqueio de tela. Além disso, você pode fazer algo estúpido, como se afastar do computador, mas esquecer de bloquear a tela ou permitir que alguém use o computador e esperar que eles não espiem seus diretórios ocultos. Além disso, você pode facilmente mover grandes quantidades de arquivos por vez, sem precisar criptografá-los de outra forma, já que os contêineres são portáteis.

Uma vantagem que os contêineres Veracrypt são tão úteis é o fato de poderem ser montados como uma unidade, e isso permite formatá-los com um sistema de arquivos separado, preferencialmente um sistema de arquivos sem journaling, como EXT2 ou FAT32. O sistema de arquivos de registro no diário pode vazar informações para um invasor. No entanto, se tudo o que você está fazendo é tentar esconder fotos nuas da babá do seu cônjuge, isso pode não ser tão relevante para você. Se, por outro lado, a babá passa a ser apenas 15, então poderia. Você também pode configurá-los para montar automaticamente na inicialização, se estiver usando um arquivo de chave. No entanto, isso não é recomendado, uma vez que o arquivo de chaves precisaria ser armazenado em um local menos seguro do que onde o FSE armazena a chave do perfil de usuário.

Ambos oferecem a capacidade de usar a compactação de arquivos. Você também pode ocultar nomes de arquivos, embora nem sempre seja o caso ao usar arquivos compactados, dependendo do algoritmo de compressão usado.

Pessoalmente, uso criptografia de contêiner para arquivos que não serão movidos e arquivos criptografados para arquivos que serão movidos ou armazenados na nuvem, já que é um tamanho de arquivo menor.

A criptografia de um diretório inicial ainda é possível com a criptografia de contêiner. Talvez guarde sua chave de criptografia em um YubiKey?

De qualquer forma, eu só queria oferecer a vocês algumas alternativas que não foram mencionadas pelos outros pôsteres. Sinta-se à vontade para concordar ou discordar de qualquer coisa que eu tenha dito.

    
por Mr. Cypherpunk 09.05.2018 / 04:10
Comparação de listas de pacotes end Kernel panic - não está sincronizando erro ao tentar instalar o Ubuntu 18.04